[사진=연합뉴스]

문정인 대통령 통일외교안보특별보좌관의 세미나 파일로 위장해 특정 관계자의 정보를 훔쳐 가는 '스피어 피싱' 공격이 발견됐다. 이번 공격은 북한 해커 조직의 수행이라는 추정이 나온다.

보안 전문 기업 이스트시큐리티는 ‘통일외교안보특보 세미나 발표 문서’를 사칭해 특정 관계자 정보를 노린 스피어 피싱(Spear Phishing) 공격이 발견됐다고 14일 밝혔다. 스피어 피싱은 악성 코드나 링크가 담긴 파일을 첨부한 이메일을 표적 대상에 발송해 사이버 공격을 시도하는 방식이다.

발견된 악성 문서 파일은 '문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc'이다.

이 파일을 열면 윗부분에 보안 경고창이 나타나면서 문서를 정상적으로 보기 위해 경고창의 '콘텐츠 사용' 버튼을 누르도록 유도하는 영문 안내가 뜬다. 이를 누르면 한국의 특정 서버에서 추가 악성코드를 설치하고, 사용자 PC의 시스템 정보·최근 실행 목록·실행 프로그램 리스트 등 다양한 정보를 수집하면서 공격자의 추가 명령을 대기하는 이른바 '좀비 PC'가 된다.

이번 공격을 시도한 곳은 북한과 연계설이 제기되는 해킹 조직 '킴수키(Kimsuky)'로 회사 측은 분석했다. 

문종현 시큐리티대응센터 이사는 "김수키 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해 해당 조직의 소행으로 추정된다"고 밝혔다.

'킴수키'는 북한을 배후로 두는 해킹 집단으로 2010년경부터 국방부, 통일부 등 정부 부처 및 유관기관을 해킹해 사회기반 시설, 탈북자 등의 관련 자료를 빼낸 조직으로 지목됐다.

2014년 12월 발생한 한국수력원자력(한수원) 해킹 사건에 사용된 악성코드 핵심 기술인 셸코드가 킴수키가 사용해 온 해킹 기술과 90% 이상 일치한다고 분석된 바 있으며, 지난해 4월에는 한미정상회담 관련 정부 관계자 발언, 10월에는 북한 난민 구출을 요청하는 내용을 사칭한 스피어 피싱 공격을 감행했다.

성기웅 기자 skw424@pennmike.com

이 기사가 마음에 드시나요? 좋은기사 원고료로 응원하세요
원고료로 응원하기
저작권자 © 펜앤드마이크 무단전재 및 재배포 금지